Уразливості на myspace.com

20:45 19.04.2007

08.04.2007

Вчора, 07.04.2007, я знайшов Cross-Site Scripting (XSRF + XSS) уразливості на популярному порталі http://myspace.com. Про що найближчим часом сповіщу адміністрацію порталу.

Також учора я вислав деталі про ці уразливості організаторам проекту Місяць багів в MySpace. Тому, у проекта MOMB з’явилися нові кандидати в баги Майспейса ;-) . Таким чином я вніс свій внесок в дану акцію.

Детальна інформація про уразливості з’явиться пізніше.

19.04.2007

XSS:

POST запит в полях Password та Confirm Password на сторінці http://signup.myspace.com/index.cfm?fuseaction=comedianJoin:
"><script>alert(document.cookie)</script>

Дані уразливість досі не виправлені.

Для цих уразливостей я також приготував PoC/Exploit: MySpace_XSS_exploit

Також інформація про дану уразливість була оприлюднена на вісімнадцятий день Місяця багів в MySpace. Організаторам даної акції я раніше вислав деталі про дані дірки.


Leave a Reply

You must be logged in to post a comment.